Кибербезопасность предприятия
Российский университет дружбы народов
Целью лабораторной работы является исследование сценария целевой атаки на инфраструктуру компании, включая эксплуатацию уязвимостей в веб-сервисе Bitrix, сервере GitLab и платформе управления API WSO2. Задачи работы включают обнаружение, анализ и нейтрализацию последствий атаки, а также восстановление работоспособности и безопасности компрометированных систем.
Конкуренты решили нанести репутационный вред деятельности компании и для этого нашли исполнителя. Злоумышленник находит в Интернете сайт соответствующей организации и решает провести атаку на него с целью получения доступа к внутренним ресурсам.
Проэксплуатировав обнаруженную на сайте уязвимость, нарушитель наносит ущерб работе и репутации владельца сайта, блокирует доступ к нему и стремится захватить управление над другими ресурсами защищаемой сети. В ходе вектора атаки злоумышленник, используя уязвимость при загрузке определенных файлов в репозиторий, закрепился на узле GitLab и продолжил своё перемещение внутри периметра. Далее злоумышленник успешно подключается к платформе, предназначенной для создания и управления API, с целью получения доступа к внутренним данным компании, раскрытие которых может привести к серьезным репутационным и финансовым потерям.
Квалификация нарушителя высокая. Он умеет использовать инструментарий для проведения атак, а также знает техники постэксплуатации.
Уязвимость в модуле «vote» системы управления содержимым сайтов (CMS) «1C-Битрикс: Управление сайтом» позволяет нарушителю удаленно записывать произвольные файлы в систему и выполнять произвольный код, используя небезопасную десериализацию. Уязвимость присутствует в версиях Bitrix до 22.0.400.
Критическая уязвимость в GitLab CE/EE, затрагивающая все версии начиная с 11.9. Уязвимость заключается в неправильной проверке файлов изображений, передаваемых в парсер ExifTool, что приводит к удаленному выполнению команд (RCE) при загрузке специально сформированного файла.
Уязвимость платформы для интеграции интерфейсов прикладного программирования, приложений и веб-служб WSO2 связана с возможностью загрузки произвольного JSP-файла на сервер без надлежащей аутентификации. Эксплуатация уязвимости позволяет удаленно выполнить произвольный код.
Подключение к серверу
Эксплуатация уязвимости CVE-2022-27228 была обнаружена по наличию в лог-файле /var/log/apache2/access.log записей с обращением к файлу /bitrix/tools/vote/uf.php и внедрением полезной нагрузки.
Были обнаружены артефакты атаки:
uf.php с передачей вредоносного PHAR-файла (payload2.phar)./var/www/html/caidao.php, загруженный в результате выполнения уязвимости./var/www/html/ файлов apache_restart (с SUID-битом) и systemctl, используемых для повышения привилегий и поддержания доступа.Сетевой сенсор ViPNet IDS NS зафиксировал события, связанные с эксплуатацией уязвимости:
AM EXPLOIT Possible Bitrix CMS below v21.0.100 RCE in module vote (CVE-2022-27228)ET EXPLOIT php script base64 encoded Remote Code Execution 2ET POLICY Executable and linking format (ELF) file downloadЗакрытие вектора LPE
Добавление директивы deny from all
Нейтрализация последствий
Эксплуатация уязвимости была обнаружена по записям в логах GitLab (/var/log/gitlab/gitlab-rails/production_json.log), указывающим на загрузку файла с расширением .jpg, который содержал вредоносную нагрузку для RCE.
Сетевой сенсор ViPNet IDS NS зафиксировал событие: AM EXPLOIT GitLab CE/EE 11.9-13.10.3 Unauthenticated Remote ExifTool Command Injection (CVE-2021-22205).
Были обнаружены последствия атаки:
evil_*_gitlab_backup.tar).gitlab-ce_13.10.3-ce.0_amd64.deb командой sudo dpkg -i.Удаление учетных записей, созданных злоумышленником
Нейтрализация последствий
Эксплуатация уязвимости была обнаружена по записям в логах доступа (/var/log/wso2_http_access.log), указывающим на загрузку файла exploit.jsp на уязвимый маршрут fileupload.
На сервере были обнаружены артефакты:
exploit.jsp по пути /opt/wso2am-4.0.0/repository/deployment/server/webapps/authenticationendpoint/.payload.elf в директории /tmp.payload.elf.Изменение конфигурации
Нейтрализация последствий
В ходе выполнения лабораторной работы была успешно исследована многоэтапная целевая атака на корпоративную инфраструктуру. Были отработаны практические навыки по обнаружению, анализу и нейтрализации последствий эксплуатации критических уязвимостей в популярном веб-фреймворке (1C-Битрикс), системе контроля версий (GitLab) и платформе управления API (WSO2). В результате проведенных мероприятий безопасность всех компрометированных систем была восстановлена: уязвимости закрыты, последствия атаки устранены, работоспособность сервисов восстановлена из резервных копий. Работа продемонстрировала важность комплексного подхода к безопасности, включающего своевременное обновление ПО, мониторинг событий безопасности и наличие актуальных резервных копий.